マイナンバー制度 実務対応 チェックリスト < 企画 制作 > 弁護士法人三宅法律事務所 2015 年 1 月
番号法 特定個人情報ガイドラインが求める対応 1. 個人番号を受け取る必要のある事務の洗い出し 個人番号の受け取りが必要な対象者と事務の洗い出しを行いましたか? 参照 安全管理措置ガイドライン 1.A 役員 従業員のほか 報酬支払先 株主などの個人番号の受け取りも必要です 2. 取り扱う特定個人情報等の洗い出し 上記 1 により洗い出した個人番号を受ける事務に関して 取り扱う特定個人情報 ( 個人番号を含む個人情報 ) 等を洗い出しましたか? 参照 安全管理措置ガイドライン 1.B 3. 事務取扱担当者の選任 個人番号を取り扱う事務取扱担当者を選任しましたか? 参照 安全管理措置ガイドライン 1.C 担当部署 責任者の設置も必要となります 4. 本人確認の方法 従業員等から個人番号を受け取る際の本人確認の方法について 手続方法を定めましたか? 参照 番号法 16 条 5. 個人番号 特定個人情報の記録 保存方法 個人番号 特定個人情報の記録 保存方法を定めましたか? ( 例 : 書類 システム上の電子ファイル ) 2
対応内容を記入 3
番号法 特定個人情報ガイドラインが求める対応 6. 委託先の選定 ( 個人情報利用事務等に関して外部委託をする場合 ) システムベンダー等の委託先を選定しましたか? 特定個人情報ガイドライン第 4-2-(1).1.B に基づく 委託先の選定基準に合致する必要があります 7. 社内規程の整備 以下の社内規程を整備しましたか? 基本方針の策定 参照 安全管理措置ガイドライン 既存のプライバシーポリシー等への追加でも認められます 取扱規程等の策定 参照 安全管理措置ガイドライン 既存の個人情報保護規程への追加でも認められます 個人情報の利用目的の特定 通知等 参照 個人情報保護法 15 条 18 条 就業規則への追加などの措置が必要です 8. 委託契約書の整備 ( 個人情報利用事務等に関して外部委託をする場合 ) 特定個人情報ガイドラインの要件を満たす委託契約書を整備しましたか? 既存の委託契約書が要件を満たす場合 または要件を満たすように変更される場合は それで認められます 4
対応内容を記入 5
番号法 特定個人情報ガイドラインが求める対応 9. 組織的安全管理措置 1 組織体制の整備 個人番号や特定個人情報の安全管理を行えるよう組織体制を変更 構築しましたか? 中小規模事業者の場合事務取扱担当者が複数いる場合 責任者と事務取扱担当者を区分していますか? 2 取扱規程等に基づく運用 取扱規程等に基づく運用状況を確認するため システムログ又は利用実績を記録する体制をとっていますか? 中小規模事業者の場合特定個人情報等の取扱状況の分かる記録を保存する体制をとっていますか? 3 取扱状況を確認する手段の整備 特定個人情報ファイルの取扱状況を確認するための方法を用意しましたか? 中小規模事業者の場合上記 2 と同じ 4 情報漏えい等に対応する体制の整備 情報漏えい等の発生又は兆候を把握した場合に 適切かつ迅速に対応するための体制をとっていますか? 中小規模事業者の場合情報漏えい等の事案の発生等に備え 従業員から上司や責任者に対する報告 連絡体制等をあらかじめ確認しておくようにしていますか? 5 取扱状況の把握及び安全管理措置の見直し 特定個人情報等の取扱状況を把握し 安全管理方法の評価 見直し 及び改善に取り組むための体制をとっていますか? 6
対応内容を記入 7
番号法 特定個人情報ガイドラインが求める対応 10. 人的安全管理措置 1 事務取扱担当者の監督 特定個人情報等が取扱規程等に基づき適正に取り扱われるよう 事務取扱担当者に対して必要かつ適切な監督を行う体制をとっていますか? 2 事務取扱担当者の教育 事務取扱担当者に 特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行う体制をとっていますか? 8
対応内容を記入 9
番号法 特定個人情報ガイドラインが求める対応 11. 物理的安全管理措置 1 特定個人情報等を取り扱う区域の管理 特定個人情報等の情報漏えい等を防止するために 特定個人情報ファイルを取り扱う情報システムを管理する区域 ( 以下 管理区域 ) 及び特定個人情報等を取り扱う事務を実施する区域 ( 以下 取扱区域 ) を明確にし 物理的な安全管理を行っていますか? 2 機器及び電子媒体等の盗難等の防止 管理区域及び取扱区域における特定個人情報等を取り扱う機器 電子媒体及び書類等の盗難又は紛失等を防止するために 物理的な安全管理を行っていますか? 3 電子媒体等を持ち出す場合の漏えい等の防止 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合 容易に個人番号が判明しない対策の実施 追跡可能な移送手段の利用等 安全対策を行っていますか? 持出し とは 特定個人情報等を管理区域又は取扱区域の外へ移動させることをいい 事業所内での移動等であっても紛失 盗難等に注意する必要があります 中小規模事業者の場合特定個人情報等が記録された電子媒体又は書類等を持ち出す場合 パスワードの設定 封筒に封入しカバンに入れて搬送する等 紛失 盗難等を防ぐための安全対策を行っていますか? 4 個人番号の削除 機器及び電子媒体等の廃棄 個人番号もしくは特定個人情報ファイルを削除した場合 又は電子媒体等を廃棄した場合には 削除又は廃棄した記録を保存する体制をとっていますか? また これらの作業を委託する場合には 委託先が確実に削除又は廃棄したことについて 証明書等により確認する体制をとっていますか? 中小規模事業者の場合特定個人情報等を削除 廃棄したことを 責任ある立場の者が確認する体制をとっていますか? 10
対応内容を記入 11
番号法 特定個人情報ガイドラインが求める対応 12. 技術的安全管理措置 1 アクセス制御 情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合 事務取扱担当者 及び当該事務で取り扱う特定個人情報ファイルの範囲の限定のため 適切なアクセス制御を行うようにしていますか? 独立のデータベース構築は必ずしも必要ではありませんが 個人番号を同一筐体内 かつ 同一データベース内で管理する場合 個人番号関係事務と関係のない事務で利用することのないように アクセス制御等を行う必要があります 2 アクセス者の識別と認証 特定個人情報等を取り扱う情報システムは 事務取扱担当者が正当なアクセス権を有する者であることを 識別した結果に基づき認証することとしていますか? 中小規模事業者の場合 特定個人情報等を取り扱う機器を特定し その機器を取り扱う事務取扱担当者を限定していますか? 機器に標準装備されているユーザー制御機能 ( ユーザーアカウント制御 ) により 情報システムを取り扱う事務取扱担当者を限定していますか? 3 外部からの不正アクセス等の防止 情報システムを外部からの不正アクセス 又は不正ソフトウェアから保護する仕組みを導入し 適切に運用していますか? 中小規模事業者の場合上記 2 と同じ 4 情報漏えい等の防止 特定個人情報等をインターネット等により外部に送信する場合 通信経路における情報漏えい等を防止するための対策を行っていますか? 12
対応内容を記入 13
MEMO 14
本チェックリスト内の 参照 で記した法 ガイドラインについて 番号法 行政手続における特定の個人を識別するための番号の利用等に関する法律 特定個人情報ガイドライン 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) 安全管理措置ガイドライン 特定個人情報に関する安全管理措置 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) 別添資料 原文は以下の Web サイトにて閲覧できます 社会保障 税番号制度 ( 内閣官房 ) http://www.cas.go.jp/jp/seisaku/bangoseido/ 個人情報保護法 個人情報の保護に関する法律 原文は以下の Web サイトにて閲覧できます 個人情報保護法令 ( 消費者庁 ) http://www.caa.go.jp/planning/kojin/houritsu/ 15
マイナンバー制度 実務対応チェックリスト < 企画 制作 > 弁護士法人三宅法律事務所 東京都千代田区有楽町 1 丁目 7 番 1 号有楽町電気ビルヂング北館 9 階 TEL: 03-5288-1021 / http://www.miyake.gr.jp 16